Eigene Zertifizierungsstelle mit OpenSSL

Besitzer eigener Server im Internet kennen das Problem: Um https zu nutzen braucht man SSL Zertifikate, doch Zertifikate von großen Zertifizierungsstellen kosten oft viel Geld. Zwar gibt es kostenlose Zertifikate von StartSSL und co., aber gerade für Dienste wie OpenVPN oder generell für Dienste eines eingeschränkten Nutzerkreises, ist es komfortabler die Zertifikate selber zu erstellen und zu signieren. Damit die Zertifikate dann als gültig akzeptiert werden, muss man nur das Stammzertifikat importiert werden, aber dazu später mehr.

!!!Selbstsignierte SSL Zertifikate sollten niemals für „öffentliche“ Webseiten/Dienste verwendet werden, die von einem großen Nutzerkreis aufgerufen werden, da der Browser stets eine Warnung bringt!!!

Die Vorbereitungen

Für die eigene Zertifizierungsstelle benötigt man folgendes:

  • einen Computer mit einem beliebigen Linux (vorzugsweise der Server)
  • openssl
  • Shell-Zugriff (ssh)

Erstellen der CA (Certificate authority)

Zunächst legt man sich einen neuen Ordner an (es spielt ansich keine Rolle wo dieser Ordner liegt, sofern er nicht von außen erreichbar ist):

mkdir /root/ownca/
cd /root/ownca/

Nun erstellen wir den privaten Schlüssel für die CA. Dieser muss sicher aufbewahrt werden, denn sollte er in falsche Hände geraten, dann sollte man schleunigst alle Zertifikate ersetzen und von vorn anfangen. Häufig findet man in Anleitungen, dass man 2048 oder 4096 Bit nehmen soll. Das ist oft einfacher, denn zum Beispiel MacOS hat Probleme mit 8192 Bit langen Zertifikaten, dennoch ist es die erhöhte Sicherheit wert.

openssl genrsa -des3 -out ca.key 8192

Nun erstellt man das dazugehörige Zertifikat. Wichtige Angaben sind hier vorallem das Land (DE), die Provinz (Bundesland), die Organisation und der Common Name (CN). Beim CN kann man seine Domain nehmen oder irgendwas anderes, denn es spielt ansich keine Rolle. Land, Provinz und Organisation sollte man ordentlich ausfüllen, da alle anderen Zertifikate die man später damit signieren will diese Attribute gleich haben müssen.

openssl req -new -x509 -extensions v3_ca -key ca.key -out ca.crt -days 3650

Als nächstes erstellen wir ein paar Ordner um etwas Ordnung rein zu bringen, denn sobald man ein paar Zertifikate erstellt hat, liegen schon ordentlich viele Dateien rum. Das -m 0700 stellt sicher, dass niemand außer man selbst auf die vertraulichen Keys zugreifen kann.


mkdir -m 0700 \
/root/ownca/certs \
/root/ownca/crl \
/root/ownca/newcerts \
/root/ownca/private

Nun benötigen wir noch eine serial Datei (diese steuert die Seriennummer für die Zertifikate) und eine index.txt (hier stehen später alle Zertifikate aufgelistet)

echo 1000 >> /root/ownca/serial
touch /root/ownca/index.txt

Nun schieben wir den vorhin erstellten Key und das Zertifikat an die richtigen Stellen und ändern gleich noch die Dateiberechtigung des Keys auf eine sichere Einstellung von 400.


mv ca.key private/
chmod 0400 private/ca.key
mv ca.crt certs/

OpenSSL-Config an die eigene CA anpassen

Damit man nicht bei jedem Zertifikat viele Parameter für die CA angeben muss, kann man das in der OpenSSL-Config anpassen. Diese liegt unter Debian und vielen anderen Distributionen unter /etc/ssl/openssl.cnf. 

Folgende Zeilen im Bereich der CA_DEFAULT müssen angepasst werden:


dir = /root/ownca/
certificate = $dir/certs/ca.crt
private_key = $dir/private/ca.key#

Zertifikate signieren

Nun ist alles vorbereitet und wir können mit dem Ausstellen von Zertifikaten beginnen. Zunächst benötigt man einen Request in Form einer CSR. Webinterfaces wie Plesk ermöglichen es diesen direkt zu erstellen. In diesem Fall kann der folgende Schritt ignoriert werden und man muss nur sicher stellen, dann die myreq.csr im Hauptordner liegt.

Einen Request (csr) erstellen

Ein Request + der dazu gehörige Privatekey ist schnell mit folgendem Befehl erstellt:

openssl req -new -nodes -newkey rsa:2048 -keyout mycertkey.key -out myreq.csr -days 365

Dabei immer darauf achten, dass man bei Company, State und Country die gleichen Werte angibt wie bei der CA-Erstellung.

Erstellen des Zertifikates aus dem Request

Das Zertifikat wird mit dem folgenden Aufruf erstellt und liegt dann im Unterordner certs/ bereit. Achtet darauf die Dateien ordentlich zu benennen um nicht im Chaos zu versinken!

openssl ca -out certs/server.crt -infiles myreq.csr

Damit ist dieses Tutorial auch schon abgeschlossen und ihr habt nun eure eigene CA. Was ihr damit alles machen könnt, erfahrt ihr in kommenden Posts.

Solltet ihr Probleme mit dem Tutorial haben oder sollte sich ein Fehler eingeschlichen haben, dann schreibt einfach einen Kommentar.

Eine Woche Surface RT

In Vorbereitung auf meinen geplanten Start in die Windows-App-Entwicklung habe ich mich erstmal mit einem Surface RT eingedeckt. Jetzt wo ich hier gemütlich mit diesem tollen Gerät im Bus sitze, habe ich mich entschlossen mal eben ein paar Worte dazu in die tolle Tastatur zu hämmern.

Los ging meine Jagt nach solch einem Gerät vor einer Woche. Ich war trotz der Tatsache, dass das Gerät als nicht verfügbar angezeigt wurde, in die Stadt zu einem  – nach einem Planeten des Sonnensystems benannten – Elektronikmarkt gefahren und quatschte nach einer Mahlzeit und einer halben Stunde beschauen des Ausstellungsgerätes den Verkäufer an ob er denn ein Surface RT mit 32 GB da hat (64 GB sind unnötig teuer, da man per MicroSD eh Speicher nachrüsten kann) und ich hatte Glück! Genau ein Gerät hatte er noch!!!! Schnell nach hause und der Spaß begann.

Als erstes musste das Gerät noch konfiguriert werden, dank Microsoft Konto musste ich lediglich mich voher ins W-LAN einklinken und mich dann einloggen und schon sah alles wie auf den anderen Windows 8 Rechnern um mich herum aus. Schon jetzt gefiel mir die Touch-Cover-Tastatur. Zwar muss man sich zunächst daran gewöhnen, dass es keinen richtigen Druckpunkt gibt, aber nach ein paar Sätzen vertippt man sich kaum noch. Einziger Nachteil an dem Ding: Durch die leicht raue Oberfläche sammeln sich Hauptpartikel in der Tastatur und sie sieht dreckig aus. Ein feuchtes Tuch löst dieses Problem aber. Doch auch mit abgebauter oder nach hinten geklappter Tastatur lässt sich das Surface RT klasse bedienen. … Doch das hier soll ja eigentlich kein Review oder Testbericht werden (den bringe ich erst nach 2-4 Wochen raus),

Nachdem ich mit der Bedienung vertraut war begann ich mich durch den App-Marktplatz zu wühlen…mit Erfolg. Auch wenn es noch nicht besonders viele Apps gibt, die wichtigsten sind vertreten. Von Quellcode-Editor bis SSH-Terminal war alles dabei was ein Nerd so braucht. (Links dazu ergänze ich später) Schließlich installierte ich noch ein paar Spiele und schon war ich süchtig nach dem Gerät. Schnell chatten und mal kurz in der viel zu langen Werbepause der Lieblingsserie eine Runde Solitär spielen gefällt mir sehr.

Bisher habe ich auch aus Zeitmangel nur diese „Grundfunktionen“ getestet und werde mich zu Details später auslassen, aber jetzt muss ich erstmal fix meine XBOX updaten und mir die Vorstellung der neuen XBOX ansehen.

Tag 1: Von Geschirr und kaputten Salzkisten

Puh das war ein anstrengender Tag! Heute viel nun der offizielle Startschuss für das Projekt: Lars allein in seiner neuen Wohnung. Zwar war ich schon ein paar Tage hier, doch Küche und Inhalt fehlten noch! Deshalb beginnt diese „Reportage“ auch erst heute 🙂 .

So gegen 10 Uhr begann der Tag für mich. Ich suchte mir was zum Frühstück zusammen und traf auf Toastbrot und Nutella. Gut, dass ich gestern schon einen Toaster gekauft habe! Also ab mit dem Toast in den Toaster und schnell ein Messer, Kaffee und ein Brettchen gesucht. Klingt als würde das Frühstück gelingen, doch es gibt ein Problem: Aus Platzgründen hatte ich das Nutella in den Kühlschrank gestellt (da der vor der restlichen Küche da war) und nun war es steinhart… Über Mumble kam ein Lösungsvorschlag: Kurz hinter das PC-Netzteil stellen…das war selbst mir dann zu doof und so versuchte ich das Nutella irgendwie so auf das Brot zu bekommen, was mir schließlich auch gelang. Dann ging es los zum einkaufen…ich habe mich immer gefragt, warum meine Eltern da teilweise so lange brauche…jetzt weiß ich es: In diesen *biiiieeep* Läden sucht man sich aber auch einfach nur blöd. Ich wollte einfach nur Zutaten für Nudeln, Tiefkühlpizza und Backpapier. Allein für das Backpapier lief ich 3 Runden durch den Laden und kaufte auf dem Weg so ziemlich alles, was ich eigentlich nicht brauchte. Marketing funktioniert dort! Völlig erschöpft ging ich nach Hause. Doch zum Mittagessen viel mir auf: Halt das Salz fehlt noch und Öl ist auch nicht da. Also nochmal schnell in nen Discounter gegangen und fertig. Nun war mein Vater da und es ging in ein großes Einkaufscenter, denn ich brauchte noch Töpfe und Geschirr und natürlich darf bei einem Informatiker auch die Mikrowelle nicht fehlen! Bei den Mikrowellen gab es viel zu viel Auswahl, doch das war schnell erledigt. Komplizierter war es da beim Geschirr: Die Farbe sollte da passend zum Rest der Wohnung einfach Grün sein (Insider wissen da evtl. mehr). Die Verkäuferin griff den Gedanken auf und versuchte mir nun wirklich alles in Grün zu verkaufen, doch musste sie wegen Lieferschwierigkeiten dann doch mit Gelb mischen. Irgendwie muss ich derartig hilflos gewirkt haben, denn sie erklärte mir gleich noch, wozu welcher Teller und welche Suppenkelle nun gedacht sei. Bis auf die Pfannen und die Töpfe hatte ich dann alles in passenden Farben.

Zu Hause angekommen nahm ich mir vor: Heute machst du Nudeln. Also schnell das Geschirr erstmal in den Geschirrspüler und die Töpfe schnell von Hand abgewaschen. Das halbe brl-mc.de Adminteam lachte sich schon schlapp über so manch Geräusch, Schrei oder Kommentar. Als endlich alles sauber war, ging das Theater (wie es später Admin bl0ons auf Facebook bezeichnete) los. Schnell etwas Wasser in den Topf, Herdplatte an und los geht’s! Als erstes musste Salz in den Topf, doch bekam ich die Verpackung nicht auf. Eigentlich sollte da an der Seite doch so ein „Hier reindrücken“ Teil sein, doch als ich es auf Anhieb nicht fand und zu bl0ons schon sagte: „Ach scheiß billig Packung“ und es gerade oben aufriss fand ich die Öffnung dann doch noch…zu spät für die Kiste. Schnell mit etwas Klebeband gefixt und weiter ging es. Nachdem das Wasser nun siedete (es gab parallel eine Diskussion über den Unterschied zwischen Kochen und sieden), wollte ich die Nudelpackung nun fachgerecht öffnen, doch das gelang – zur Freude so manch Mumblezuhörer – auch wieder nicht. Also entfernte ich die Nudeln gewaltsam aus der Verpackung. Schnell ein paar Hand voll in den Topf gepackt und 11 Minuten gewartet. Beim Abgießen viel auf: Es sind zu viele, was ich mit: „Da kann ja ne ganze Elchherde von satt werden“ kommentierte. Beim warmmachen der Soße war der Herd zu nächst der Meinung einfach ewig zu brauchen und dann aber plötzlich die Soße aus dem Topf zu schießen, doch das Ergebnis konnte sich am Ende sehen lassen:

 

Übrigens: Bis auf eine kleine Schüssel wurden alle Nudeln alle!

Dann bis morgen.

Euer Admin im Reallife

malganis93 aka Lars

Informatiker im Reallife

Hallo Blogleser,

ich weiß ich war mehr als faul in letzter Zeit, doch da ich jetzt umgezogen bin, werde ich euch ab sofort eine neue Serie von Posts über die Tücken des Alltags präsentieren. Ich hoffe ihr habt Spaß.

 

Viele Grüße

malganis93

Neues von Browserlife.de und Browserlife-TV

Während ich mit meinem gewohnt lahmen Tempo hinter den Kulissen an einer neuen Webseite für Browserlife.de bastele gibt es im öffentlichen Bereich ein paar Neuerungen. Die Rede ist hier von Browserlife-TV, ein Projekt was schon fast in Vergessheit geraten war! Seit League of Legends den Spectatormode veröffentlicht hat und nun auch noch View74 mit seinem LoL-Clan mit von der Partie ist (ein großes Danke an dieser Stelle an euch), gibt es jetzt schon fast regelmäßige Sendungen. Um aus den schon fast regelmäßigen Sendungen nun auch wirklich „regelmäßige“ Sendungen zu machen werde ich in den nächsten Tagen eine Webseite mit unserem Streamprogramm eröffnen. Dort könnt ihr euch einen groben Überblick verschaffen wann welche Sendung live ist und wann eine Sendung wiederholt wird. Das Programm wird zunächst nur die Nachmittagsstunden und die Wochenenden umfassen und zu allen anderen Zeiten wird wie gewohnt der Autopilot ein paar Videos zeigen. Mehr dazu in den kommenden Tagen unter http://tv.browserlife.de .

Nun noch schnell ein paar Worte zur neuen Webseite. Ich plane hier eine Newsseite im Zeitungslayout als Hauptseite. Darunter werdet ihr eine Communitypage finden, die vom Aufbau her sehr an Seiten wie Facebook oder SchülerVZ erinnert. Es gibt Statusmeldungen, Gruppen und Foren. Um diese Seite ordentlich aktuell zu halten brauche ich auf jeden Fall noch ein paar Mithelfer, denn pro Tag sollten schon mindestens ein bis zwei Posts veröffentlicht werden. Die Themen sollen vorallem den Technik und Gameingbereich umfassen, aber auch Alltagsthemen mit Relevanz sind erwünscht. Für private Ergüsse (Literarischer Art!) sind auch eigene Blogs für jeden Nutzer möglich.

Ich hoffe ihr freut euch schon auf die neue Seite! Ich werde in den nächsten Tagen einen Newsletter veröffentlichen. Wo ihr euch dafür anmelden könnt schreibe ich im nächsten Beitrag.

Lars
malganis93